прокси подменяет SSL сертификат

Просто Claws не использует CA как способ проверки сертификатов, а полагается на то, у сервера сертификаты меняются редко и предсказуемо. Подход интересный, но сейчас из-за всяких Let's Encrypt'ов малоосуществимый. Наверное, сертификат прокси у тебя добавлен в доверенные CA.

Просто Claws не использует CA как способ проверки сертификатов, а полагается на то, у сервера сертификаты меняются редко и предсказуемо. Подход интересный, но сейчас из-за всяких Let's Encrypt'ов малоосуществимый. Наверное, сертификат прокси у тебя добавлен в доверенные CA.

так наоборот, когда через прокси/файрволл — плюется. Когда напрямую — норм.

И я не понимаю, ведь файрволл/прокси просто дожен соединение обеспечивать? Я нигде не прописываю адреса прокси и т.д. Просто соединяюсь с сетью, авторизуюсь на страничке, и все.

Значит где-то MITM?

так наоборот, когда через прокси/файрволл — плюется. Когда напрямую — норм.

все правильно. Исходно ты подключался напрямую и Claws запомнил правильный сертификат. А через прокси/файервол идет подмена серта, т.е. MITM.

Вот, даже нагуглил инструкцию, как добавлять сертификат прокси в доверенные CA, чтобы MITM прошел у пользователей незамеченным: https://cookbook.fortinet.com/preventing-certificate-warnings/

А через прокси/файервол идет подмена серта, т.е. MITM.

зачем они это делают?

зачем они это делают?

А вот это уже к админам прокси. Скорее всего, ничего криминального, но прецедент неприятный.

Вот, даже нагуглил инструкцию, как добавлять сертификат прокси в доверенные CA, чтобы MITM прошел у пользователей незамеченным: https://cookbook.fortinet.com/preventing-certificate-warnings/

офигеть. И как от этого уберечься? Отключить атовматическое доверие сертификатам из CA?

кстати, подключаться к VPN по OpenConnect получается и на сертификаты не ругается вроде. И tox работает норм. Я в вопросах o.O

И как от этого уберечься? Отключить атовматическое доверие сертификатам из CA?

Найти и выкинуть их сертификат из списка CA. Кстати, возможно, что они только почту MITM'ят, посмотри детали сертификата на каком-нибудь https://google.com — если выдан гуглом, то все ок, если FortGate'ом — то HTTPS тоже перехватывается.

palemoon пишет, что гуглом выдан. Google LLC какой-то. Значит норм. Вот дичь-то

Тогда, скорее всего, только IMAPS мониторят. Действительно, странно.

на лор пишет вот это: выдан COMODO CA Limited

SHA256: CF:C3:94:77:A3:27:92:25:90:05:85:57:57:CD:7D:7E:B3:B8:2A:82:37:88:73:E2:4F:31:DF:43:62:86:A7:BA

у тебя такой-же? А еще пишет что «прокси подменяет SSL сертификат».

Да, на ЛОРе такой же. CF:C3:94:77:A3:27:92:25:90:05:85:57:57:CD:7D:7E:B3:B8:2A:82:37:88:73:E2:4F:31:DF:43:62:86:A7:BA. Ничего не пишет.

У нас на работе корпоративный прокси так делает. За исключением нескольких сайтов, типа sberbank.ru. И в доверенные центры ОС добавлен корневой сертификат компании через политики. В Хроме и IE по умолчанию этого достаточно. Но в FF, чтобы не видеть сообщение об ошибке необходимо добавить сертификат вручную.

Там нужно не только владельца сертификата смотреть, но и подписавшего его, и вообще всю цепочку доверия. Или отпечаток сравнивать.
Плюсую мнение о том, что залезают только в IMAPS. Иначе бы все остальные сетевые приложения давно бы завопили.
Ещё один способ обнаружить MITM - воспользоваться tcptraceroute на интересующий порт. Если трасса внезапно обрывается, то значит, что где-то стоит прозрачный прокси.

Еще один способ обнаружить MITM - пойти на любой сайт с EV-сертификатом. Прокси не умеют подделывать EV. Подробности здесь: https://www.grc.com/ssl/ev.htm

Спасибо, не знал.

как понять, есть ли EV-сертификат?

Кэширование, того что по сути не нужно кэшировать. Ну или если прокси использует для мониторинга трафика, то подмена тоже понятна.

кстати, подключаться к VPN по OpenConnect получается и на сертификаты не ругается вроде. И tox работает норм. Я в вопросах o.O

Трафик идет через vpn

Прокси не умеют подделывать EV

Но не факт, что не умеют пропускать прозрачно на сайты с EV, и подставлять все остальные. Что было бы разумным поведением.

Умеют подменять его на не EV. И выглядит это как обычный сайт по https без зеленого названия компании.

Иначе бы все остальные сетевые приложения давно бы завопили

Далеко не факт. Вопли - на усмотрение приложений. Ну и в зависимости от того, добавлен ли прокси в доверенные СА.

Если это корпоративная машина в домене, сертификат можно сунуть в доверенные политиками (работает для ИЕ/эдж и хромообразных). Для ФФ вроде тоже есть свой костыль для автоматического распространения.

При этом когда последний раз проверял, ИЕ/Эдж молча проглатывали SSL MITM при условии, что СА в доверенные добавлен, и никаких предупреждений не писали. FF (тогда еще в районе 20-х или 30-х версий) тоже не писал, но туда нужно было сертификат отдельно добавлять. Хромой (правда, емнип, не корпоративная, а обычная версия) один раз предупреждал, что злобный админ устроил тут SSL MITM, так что работайте на свой страх и риск, но дальше работал нормально.

Если на машине никто не добавлял СА в доверенные, то да, будут орать все.

как понять, есть ли EV-сертификат?

Он зеленый в Firefox. Прокси его подменит на не зеленый.

В общем, теряется весь смысл https

Именно.

Что лишний раз доказывает, что одними только техническими методами социальные проблемы не решаются. Т.к. руководство может издать приказ «всем вставить mitm» и вставят.

Нет. Это доказывает только то, что текущие технические методы не совершенны.

зачем они это делают?

Чтоб сразу отлавливать почтовые трояны. Еще до того, как любители бездумно позапускать все, пришедшее по почте, их увидят.